Background team.png

FASTCash: la forma en que el Grupo Lazarus ataca millones de cajeros automáticos

Symantec descubre la herramienta utilizada por Lazarus para
llevar a cabo ataques en cajeros automáticos.

Aline Lefort

 

cards-3252979_1280 Symantec descubre la herramienta utilizada por Lazarus para llevar a cabo ataques en cajeros automáticos.

El 2 de octubre de 2018, se emitió una alerta por parte de US-CERT, el Departamento de Seguridad Nacional, el Departamento del Tesoro y el FBI. Según esta nueva alerta, Hidden Cobra (el nombre en clave del gobierno de Estados Unidos para Lazarus) ha estado llevando a cabo ataques "FASTCash", robando dinero de cajeros automáticos (ATM) de bancos en Asia y África desde al menos 2016.


Lázaro es un grupo de ataque muy activo involucrado tanto en delitos cibernéticos como en espionaje. El grupo fue conocido inicialmente por sus operaciones de espionaje y una serie de ataques perturbadores de alto perfil, incluido el ataque de 2014 a Sony Pictures. Más recientemente, Lazarus también se ha involucrado en ataques motivados financieramente, incluido un robo de US $ 81 millones del Banco Central de Bangladesh y el ransomware WannaCry.

Tras el informe de US-CERT, la investigación de Symantec descubrió el componente clave utilizado en la reciente ola de ataques financieros del grupo. La operación, conocida como "FASTCash", ha permitido a Lazarus vaciar de manera fraudulenta los cajeros automáticos de efectivo. Para hacer los retiros fraudulentos, Lazarus primero infringe las redes de los bancos objetivo y compromete a los servidores de aplicaciones del switch que manejan las transacciones en cajeros automáticos.

Una vez que estos servidores están comprometidos, se implementa un malware previamente desconocido (Trojan.Fastcash). Este malware, a su vez, intercepta solicitudes de retiro de efectivo fraudulentas de Lazarus y envía respuestas de aprobación falsas, lo que permite a los atacantes robar efectivo de cajeros automáticos.

Según la alerta del gobierno de los EE. UU., En un incidente en 2017 se retiró efectivo de forma simultánea de cajeros automáticos en más de 30 países diferentes. En otro incidente importante en 2018, se tomó efectivo de cajeros automáticos en 23 países diferentes. Hasta la fecha, se estima que la operación FASTCash de Lazarus ha robado decenas de millones de dólares

 

También te puede interesar: ¿Se está escondiendo el malware en tu CV?

Cómo funcionan los ataques FASTCash - Detalles

Para permitir sus retiros fraudulentos de cajeros automáticos, los atacantes inyectan un ejecutable malintencionado Advanced Interactive eXecutive (AIX) en un proceso legítimo en ejecución en el servidor de aplicaciones del switch de una red de transacciones financieras, en este caso una red que maneja transacciones en cajeros automáticos. El ejecutable malicioso contiene lógica para construir mensajes ISO 8583 fraudulentos. ISO 8583 es el estándar para la mensajería de transacciones financieras. El propósito de este ejecutable no ha sido documentado previamente. Anteriormente se creía que los atacantes utilizaban scripts para manipular software legítimo en el servidor para permitir la actividad fraudulenta.

Sin embargo, el análisis de Symantec ha encontrado que este ejecutable es en realidad un malware, al que hemos denominado Trojan.Fastcash. Trojan.Fastcash tiene dos funciones principales:

  1. Supervisa los mensajes entrantes e intercepta las solicitudes de transacción fraudulentas generadas por el atacante para evitar que lleguen a la aplicación de conmutador que procesa las transacciones.
  2. Contiene lógica que genera una de tres respuestas fraudulentas a solicitudes de transacciones fraudulentas.

Una vez instalado en el servidor, Trojan.Fastcash leerá todo el tráfico de la red entrante, buscando los mensajes de solicitud ISO 8583 entrantes. Leerá el Número de cuenta principal (PAN) en todos los mensajes y, si encuentra alguno que contenga un número de PAN utilizado por los atacantes, el malware intentará modificar estos mensajes. Cómo se modifican los mensajes depende de cada organización víctima. Luego transmitirá un mensaje de respuesta falso que aprueba solicitudes de retiro fraudulentas. El resultado es que los intentos de retirar dinero a través de un cajero automático por los atacantes de Lazarus serán aprobados.

Aquí hay un ejemplo de la lógica de respuesta que utiliza Trojan.Fastcash para generar respuestas falsas. Esta muestra en particular tiene lógica para construir una de las tres respuestas falsas basadas en la solicitud del atacante entrante:

Para el Indicador de tipo de mensaje == 200 (Transacción ATM) y el Modo de entrada en el punto de servicio comienza con 90 (solo banda magnética):

    Si el Código de Procesamiento comienza con 3 (Consulta de saldo):

                Código de respuesta = 00 (Aprobado)

    De lo contrario, si el número de cuenta principal está en la lista negra de atacantes:

                Código de respuesta = 55 (PIN no válido)

    Todos los demás códigos de procesamiento (con PAN no incluidos en la lista negra):

                 Código de respuesta = 00 (Aprobado)

En este caso, los atacantes parecen haber construido una capacidad para denegar transacciones de forma selectiva en función de su propia lista negra de números de cuenta. Sin embargo, la capacidad no se implementó en este ejemplo, y la verificación de la lista negra siempre devuelve "Falso".

Symantec ha encontrado varias variantes diferentes de Trojan.Fastcash, cada una de las cuales utiliza una lógica de respuesta diferente. Creemos que cada variante se adapta a una red de procesamiento de transacciones en particular y, por lo tanto, tiene su propia lógica de respuesta personalizada.

Los números PAN utilizados para llevar a cabo los ataques FASTCash se relacionan con cuentas reales. Según el informe de US-CERT, la mayoría de las cuentas utilizadas para iniciar las transacciones tenían una actividad mínima en la cuenta o cero saldos. Cómo los atacantes obtienen el control de estas cuentas sigue sin estar claro. Es posible que los atacantes estén abriendo las cuentas y haciendo solicitudes de retiro con tarjetas emitidas a esas cuentas. Otra posibilidad es que los atacantes estén usando tarjetas robadas para realizar los ataques.

En todos los ataques FASTCash informados hasta la fecha, los atacantes han comprometido los servidores de aplicaciones bancarias que ejecutan versiones no compatibles del sistema operativo AIX, más allá del final de las fechas de soporte de su paquete de servicios.

 

 

Conoce más de Symantec y sus soluciones;

symantec

 

 

Más de blogs